Datenschutz, aber innovativ

- Es gilt das gesprochene Wort -

Liebe Frau Kolak,
Liebe Frau Müller-Ziegler,
Lieber Herr Quinten,
Meine sehr geehrten Damen und Herren,
liebe Gäste der 80. Bankwirtschaftlichen Tagung des BVR,

ganz herzlichen Dank für Ihre Einladung. Es ist mir eine große Freude und Ehre, Ihnen heute mit meiner Keynote Einblicke darin geben zu dürfen, was für mich innovativer Datenschutz bedeutet.

Ich bin seit gut einem Jahr als Bundesdatenschutzbeauftragte in einer Mission unterwegs: Der Mission, Ihnen den Datenschutz wieder „schmackhaft“ zu machen.

Ihnen auch als Wirtschaft zu erklären, warum wir statt Datenschutz pauschal als Bürokratieverursacher abzutun, eine ehrliche Diskussion darüber führen sollten, wofür Datenschutz eigentlich da ist: er soll uns alle schützen.

Aber zur Ehrlichkeit gehört es auch, zu fragen, wo wir als Datenschutzaufsicht besser werden müssen.

Datenschutz verbietet Datenverarbeitungen nicht pauschal, sondern legt die Spielregeln für diese Datenverarbeitungen fest.

Dass wir miteinander sprechen, hier und heute, das ist der erste Schritt hin zu einem lösungsorientierten Datenschutzkonzept, das Bedürfnisse versteht und erläutert, wie datenschutzrechtliche Vorgaben eingehalten werden können.

Und diesen Dialog führe ich gerne, auch mit Ihnen heute, auch wenn ich Ihre Banken nicht unmittelbar selbst beaufsichtige.

Ich wurde im Vorfeld gebeten, einleitend ein paar Worte zur Aufsichtsstruktur im deutschen und europäischen Datenschutz zu verlieren. Dem möchte ich gerne nachkommen.

Anschließend werde ich Ihnen einen Überblick darin geben, wie ich als Bundesbeauftragte meinen Job angehe:

Wie ich die Vereinbarkeit von Datenschutz und Datennutzbarkeit sehe und wie ich sie begleite – mit neuen Beratungs- und Lösungskonzepten, um letztlich ganz konkret inhaltlich am Beispiel der Datennutzung für KI zu erläutern, wie der Spagat zwischen Datenschutz und Datennutzbarkeit gelingen kann.
 

1. Datenschutzaufsicht im nationalen und europäischen Gefüge

Als Bundesbeauftragte bin ich neben der Aufsicht über den Telekommunikations- und Postsektor vor allem für die Aufsicht über die Bundesbehörden zuständig.

Dazu gehört auch die Deutsche Bundesbank.

Meine Länderkolleginnen und –kollegen, mit denen Sie im Alltag vermutlich am meisten zu tun haben, übernehmen derzeit den größten Teil der Wirtschaftsaufsicht und damit auch der Aufsicht über Ihre Banken.

Meine 17 Länderkolleginnen (Bayern hat zwei Aufsichtsbehörden) und -kollegen und ich haben uns in der sog. Datenschutzkonferenz zusammengeschlossen, um einheitliche Leitlinien für das Datenschutzrecht in Deutschland zu entwickeln.

Wir arbeiten dabei auch mit dem Bundeskartellamt zusammen, wenn Daten zu Marktmacht führen, und mit der Bundesnetzagentur, die die Datenwirtschaft in Sachen KI, Plattformen und Datenzugang im Wesentlichen beaufsichtigt.

Auf Europäischer Ebene haben wir uns mit den Datenschutzaufsichtsbehörden der anderen EU-Mitgliedstaaten abzustimmen, im sogenannten European Data Protection Board.

Dort mischen auch die EU-Kommission und der Europäische Datenschutzbeauftragte mit.

Auch für die Aufsicht über die KI-Verordnung und den Data Act wird es entsprechende Gremien auf europäischer Ebene geben.

Wie diese unterschiedlichen Gremien dann wiederum zusammenarbeiten sollen, dazu gibt es noch keine genaue Vorstellung, die Aufsichtsbehörden arbeiten aber an Ideen.

Letztlich, das muss man sagen, ist es wie auch in der Politik: Es muss sich jemand den Hut aufsetzen und für die Themen brennen, damit sie gelingen.

Meine Damen und Herren, ich möchte Sie mit diesem Schaubild nicht verschrecken. Ich möchte lediglich aufzeigen, warum Abstimmungsprozesse hier manchmal etwas länger dauern und wie viele Player mit am Tisch sitzen.

Warum ich als Leiterin einer von 18 Datenschutzaufsichts-behörden an Beschlüsse der DSK und des EDPB gebunden kann, weshalb daher Vieles ein Kompromiss ist.
 

2. Datenschutz und Datennutzbarkeit zusammen denken

Ich bin dafür angetreten und gewählt worden, Datenschutz positiv zu denken und dabei klar zu sagen: Datenschutz und Datennutzbarkeit schließen einander nicht aus.

Lassen Sie mich also zu meiner Vision kommen: Auch in einer zunehmend auf Datennutzbarkeit ausgerichteten Wirtschaft hat Datenschutz seine Berechtigung – vielleicht mehr als jemals zuvor.

Nicht als Bremser, sondern als Ratgeber in einer werteorientierten, sozialen Datenwirtschaftsordnung.

In der Arbeit in Ihrer Banken haben Sie vermutlich täglich mit vielen datenschutzrechtlichen Herausforderungen zu tun.

Ob Kontoeröffnungen, Kreditwürdigkeits- und Identitätsprüfungen, Zahlungsabwicklungen oder Marketing.

Ich kann schon verstehen, warum Dokumentations-, Informations- und Meldepflichten aus der DSGVO Ihr Herz nicht im positiven Sinne höher schlagen lassen und von Ihnen eher als bürokratisch statt als hilfreich empfunden werden.

Und der Datenschutz ist sicher nicht Ihre einzige Sorge.

Ich weiß, dass auch die dauerhaft angespannte Bedrohungslage, neue Angriffsszenarien und nicht zuletzt die strengen Anforderungen aus anderen Gesetzen Sie vor große Herausforderungen im Bereich IT-Sicherheit stellen.

Kein Zweifel, Sie arbeiten in einer hochgradig regulierten Branche und sind es gewohnt, neue Anforderungen des Gesetzgebers umzusetzen – teils schon dann, wenn der Gesetzgeber selbst noch nicht genau weiß, was nach seiner Definition eigentlich eine gute Umsetzung ausmacht.

Sicher haben Sie schon jetzt die Anforderungen der KI-Verordnung für sich analysiert. Mit der KI-Verordnung und dem Data Act werden weitere Regulierungen auf Sie zukommen.

Und dann kommt am Ende auch noch die Aufsichtsbehörde mit ihrer Auslegung – und zwingt Sie, kurzfristig und unter hohem Druck wieder aufwendig umzuplanen. Kein unrealistisches Szenario, nehme ich an.

Meine Damen und Herren, ich bin ganz ehrlich: Ich beneide Sie um RTS, ITS, MiFID, Basel, CRD, DORA und all die anderen Regelungen, die es einzuhalten gilt, nicht.

Ich für meinen Teil kann nur den Datenschutz analysieren und auch ich, das kann ich Ihnen so ehrlich sagen, bin nicht mit allem zufrieden.

Aber Datenschutz ist Grundrechtsschutz. Dafür lohnt es sich, eine Extrameile zu gehen – nur sollten sie dabei bestmöglich unterstützt werden. Jeder, der Datenschutzrecht einhalten will, sollte dazu bestmöglich befähigt werden.

Im inzwischen achten Jahr der Anwendbarkeit der DSGVO ist es deshalb gut, dass wir endlich eine Diskussion darüber führen, wie unsere Verfahren als Aufsichtsbehörden besser, unsere Beschlüsse klarer und praxisgerechter werden und welche Pflichten keinen Mehrwert für die Betroffenen bieten und deshalb abgeschafft gehören.

Aber, lassen Sie mich nun umschwenken, und positiver werden. Das liegt mir mehr als zu klagen. Der Datenschutz ist nicht Ihr Gegenspieler, und ich in meiner Funktion als Leiterin einer Aufsichtsbehörde möchte versuchen, bestmöglich für Sie da zu sein.

Ich will zuhören und informieren, Lösungen anbieten und verstehen, wo die Probleme liegen, zu denen wir Lösungen anbieten müssen.

Meine Damen und Herren, ich möchte die steile These in den Raum stellen, dass Datenschutzrecht dann, wenn die Vorgaben klar sind und der Aufwand entsprechend reduziert wird, sogar zum Standortvorteil werden kann. Denn Datenschutz schafft Vertrauen in Ihre Produkte und Dienstleistungen.

Aber die Politik muss sich endlich darüber im Klaren werden, welche Datennutzung gesellschaftlich erwünscht ist. Und welche nicht. Ohne diese Zieldefinition fehlt der Nordstern in der Digitalstrategie.

Der Bankensektor ist aus meiner Sicht ein Paradebeispiel dafür, wie wichtig neben dem Datenschutz auch die Datennutzung ist:

Durch die Auswertung von Zahlungsdaten können z. B. Straftaten wie Betrug, Geldwäsche und Terrorismusfinanzierung verhindert werden. Diese positiven Möglichkeiten der Datennutzbarkeit haben sich durch neue technische Möglichkeiten in den vergangenen Jahren noch verstärkt.

Und sie werden weiter zunehmen, davon bin ich überzeugt. Ich denke da z. B. an die Datennutzung zur Abwehr und Vorsorge von Cyberangriffen. Niemand möchte einem solchen Angriff zum Opfer fallen – Datennutzung für Abwehr und Prävention ist daher insbesondere im Bereich der kritischen Infrastrukturen essentiell, z. B. durch Systembeobachtungen und Analysen.

Datenschutz und Datennutzung müssen auch und gerade im Bankensektor zusammen – und nicht gegeneinander – gedacht werden. Nichts Anderes will und fordere ich. Die Vorteile der Digitalisierung zu sehen und gleichzeitig nicht die Augen vor den Gefahren zu verschließen, die für das informationelle Selbstbestimmungsrecht entstanden sind und denen es angemessen zu begegnen gilt.

Im Zentrum meiner Tätigkeit steht immer der Mensch, dessen Grundrechte ich schütze. Das ist mir ein ganz wichtiges Anliegen.

Aber Innovation und Fortschritt können auch zugunsten der Menschen wirken, wie etwa moderne Systeme zur Angriffserkennung auf Bankensysteme zeigen.

Deshalb will ich Innovation begleiten und nicht verhindern. Ich will zeigen, wie datenschutzkonforme Innovation gelingen kann.

Ich bin dabei überzeugt davon, dass es nicht nur den einen Weg zur Einhaltung des Datenschutzrechts gibt, sondern dass Beratung und Information mindestens genauso wichtig sind wie Kontrolle und Sanktionen.

Je mehr Beratung ich anbieten kann, desto weniger Datenschutzverstöße wird es geben. Deswegen stelle ich die Beratung und die positive Kommunikation von Datenschutz in den Mittelpunkt meiner Tätigkeit.

Ich möchte von Anfang an wissen, wo die datenschutzrechtlichen Herausforderungen von digitalen Produkten und Projekten liegen, um diese konstruktiv-kritisch begleiten zu können.

Lassen Sie mich hierfür zwei Projekte vorstellen, die diesen Ansatz veranschaulichen: Unsere Strategic Foresights und unser KI-Regulab.
 

3. Beratungsinstrumente

Bei den Strategic Foresights treffen wir uns im Rahmen mehrstufiger wissenschaftlicher Prozesse regelmäßig mit internen wie externen Expertinnen und Experten.

Die Strategic Foresights dienen dazu, uns gemeinsam mit relevanten Themen der Zukunft zu beschäftigen, um frühzeitig datenschutzrechtliche Positionen zu diesen Themen zu erarbeiten, die wir an die Öffentlichkeit kommunizieren.

Der erste Strategic Foresight wird diesen Herbst zum Thema Gesundheit stattfinden.

Ich bin der festen Überzeugung, dass wir mit den aus unseren Strategic Foresights gewonnenen Erkenntnissen hilfreiche Leitlinien und Handlungsempfehlungen erarbeiten werden, die bei zukunftsweisenden Themen frühzeitig für mehr Rechtssicherheit sorgen.

Wir richten zudem derzeit unser hauseigenes KI-Reallabor mit dem Namen „ReguLab“ ein. Dort werden KI-Systeme unter unserer aktiven Begleitung erprobt und anschließend datenschutzkonform in die reale Welt entlassen.

Ich bin davon überzeugt, dass uns das alle weiterbringen wird. Wir als Behörde werden unsere Expertise bereits im Entwicklungsprozess einbringen und von den KI-Anbietern lernen.

Mit der Spoke Guidance und den Exit Reports, die wir im Verlauf eines ReguLab-Cases entwickeln, sorgen wir im Anschluss für Rechtssicherheit im Markt. Diese wirkt sich sowohl auf die Teilnehmer unseres ReguLabs als auch auf Externe aus, die ähnliche KI-Systeme entwickeln möchten und hierfür eine Orientierungshilfe bekommen.

Das ist keine Spielerei, sondern hier wollen wir – im Dialog – datenschutzrechtliche Fragen klären, die für ganz viele Akteure im Markt relevant sind.

Gleichzeitig haben wir gerade ein Pilotprojekt für ein KI-Reallabor unter der KI-VO gemeinsam mit dem Hessischen Digitalministerium und der Bundesnetzagentur gestartet. Wir stellen uns also genauso wie Sie auf das Inkrafttreten der KI-VO ein, im Rahmen unserer Möglichkeiten und Zuständigkeiten.

Als Vorbild dienen mir hier meine Amtskolleginnen und –kollegen in England und Frankreich. Dort hat man Reallabore als Instrument zur Innovationsförderung bereits vor einigen Jahren erkannt und erfolgreich eingeführt.

Ich freue mich daher sehr, dass der deutsche Gesetzgeber nun mit einem Reallaborgesetz nachzieht und den Weg für weitere Reallabore auch in Deutschland ebnet.
 

4. Konkret: Umgang mit Daten und KI

Meine Damen und Herren, Sie haben jetzt einen ungefähren Eindruck davon, mit welchen Instrumenten ich mehr Rechtssicherheit in den Markt tragen möchte. Lassen Sie mich abschließend resümieren, wohin wir mit diesem Ansatz steuern können.

Digitalpolitik ist Machtpolitik. So steht es im Koalitionsvertrag. So ist es auch tatsächlich. Digitalpolitik ist aber auch Innovationspolitik.

Wie also sieht es konkret aus, wenn Datenschutz und Datennutzbarkeit zusammengedacht werden, also auch Sie als Wirtschaft mehr Daten nutzen, ohne den Datenschutz zu vernachlässigen?

Ein Datenschutz-Thema, das sicherlich für viele Unternehmen relevant ist, ist die Rechtmäßigkeit der KI-Nutzung. Doch was, wenn ich als Unternehmen gar keine Kontrolle darüber habe, wie das Tool, das ich einsetze, hergestellt und trainiert wurde? 

Deswegen schauen wir uns als Datenschutz-Aufsicht z. B. genau an, unter welchen Voraussetzungen Daten für Trainingszwecke von KI genutzt werden können.

Das geht nach einheitlicher Auffassung des europäischen Datenschutzausschusses nicht nur auf Grundlage einer Einwilligung, sondern auch auf Grundlage eines sogenannten berechtigten Interesses.

Und was, wenn eine KI rechtswidrig trainiert wurde? Auch dann darf sie unter gewissen Umständen eingesetzt werden, denn das Datenschutzrecht kennt keine pauschale Verantwortlichkeit eines Nutzers für rechtswidrige Datenverarbeitungen desjenigen, der eine KI rechtswidrig trainiert hat.

Technisch kann hier z. B. durch Abschottung sichergestellt werden, dass die durch das rechtswidrige Training entstandenen Gefahren für die Betroffenen nicht zum Tragen kommen.

Es ist an uns Datenschutz-aufsichtsbehörden, hier den Rechtsrahmen klar zu erklären, Rechtssicherheit zu geben und uns dazu zu bekennen, dass Innovation und Datenschutz Hand in Hand gehen.

Es ist an Ihnen als Wirtschaftsteilnehmer, das Angebot anzunehmen und Datenschutz von Anfang an und in jedem Projekt positiv mitzudenken.

Es ist an der Politik, die Rahmenbedingungen auch in Zukunft richtig zu setzen.

Meine Damen und Herren, warum sage ich das alles? Warum liegt es mir so am Herzen, dass Datenschutz in unserer digitalen Zukunft mitgedacht wird? Dass die Vorgaben klarer erläutert werden als bislang? Dass wir als Aufsicht Lösungen anbieten?

Weil das Datenschutzrecht eine großartige Idee zum Schutze der Menschen war und bleibt. Weil Datenschutz Vertrauens- und Werteträger ist. Und weil ich mir für unser Land, für unseren Kontinent eine digitale Zukunft wünsche, in der europäische Werte weiterhin eine Rolle spielen.

Ich wünsche mir eine digitale Zukunft, in der wir als Europa nicht nur überleben, sondern gut leben können, weil wir heute Innovation gefördert und gleichzeitig an unseren Werten festgehalten haben. Weil wir heute klug gehandelt haben.

Herzlichen Dank für Ihre Aufmerksamkeit!